Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
36
Rozdział2:KluczowekoncepcjesystemuWindows
procesu,wstrzykiwaćkod,wstrzymywaćiwznawiaćwątki,atakżezakończyćproces5.
Napastnik,któryuzyskaurpawnieniaadministracyjne,możebeztrudupokonaćsyste-
mychroniąceprzedzłośliwymoprogramowaniemiprzeprowadzićataktypu„przesła-
niehasza”przyużyciupoświadczeńwykradzionychzLsass.exe6.Procesychronione
zmieniająteregułydostępu,przezconawetkontoSystemiinneuprzywilejowane
kontaadministracyjnesąblokowaneprzyniemaldowolnejpróbiekontrolilubdostępu
dotychwrażliwychprocesów.
SystemWindowsdesygnujeokreśloneprocesyjakochronionebazującnaspecjal-
nympodpisiecyfrowymzawartymwplikachobrazuprocesu.Niektóreprocesyzawsze
sąchronione–możnatuwymienićprocesSystem,Smss.exe,Wininit.exeorazServices.
exe.Dziękizapewnieniu,żewszystkieprocesypotomnekażdegoprocesuchronionego
równieżsąchronione,systemWindowsustanawiałańcuchzaufaniadlatejochrony
.
Ustawieniakonfiguracyjnepozwalająwłączyćochronętakżedlainnychprocesów,
takichjakLsass.exeiwybraneusługi,takiejakoprogramowanieantywirusowe,oile
ichplikiobrazówrównieżsąspecjalniepodpisane.
Gdyproceswywołującypróbujeuzyskaćdostępdoprocesu,którysystemozna-
kowałjakochroniony
,jądroWindowsprzyznajejedynieminimalnyzestawograni-
czonychuprawnień,któreniezawierająmożliwościiodczytywanialubzapisywania
pamięcianiwstrzykiwaniakodudoprocesu,oilewywołującysamniejestrównież
procesemchronionymowyższympierwszeństwieochrony
.Analogiczneograniczenia
stosowanesądopróbdostępudowątkówchronionychprocesów.Dodatkowoprocesy
chronionemogąładowaćtylkospecjalniepodpisanebibliotekiDLL,przezconiezaufa-
nykodniemożezostaćuruchomionywtymprocesie.Zabezpieczatorównieżprzed
próbamiwykorzystaniamechanizmupodkładekzapewniającychkompatybilnośćapli-
kacjidozaładowaniaDLL-ipodkładekdoprocesu.
SystemWindowsdefiniujekilkatypówprocesówchronionych:
■PsProtectedSignerAuthenticode
■PsProtectedSignerCodeGen
■PsProtectedSignerAntimalware
■PsProtectedSignerLsa
■PsProtectedSignerWindows
■PsProtectedSignerWinTcb
5UprawnienieDebugProgramsjestniewątpliwiepotężnymprzywilejem,którepowinnobyćprzy-
znawanejedynieadministratorom.Niektóreporadnikizabezpieczeńzalecają,abynieprzyznawać
tegouprawnienianawetgrupieAdministrators.Jesttojednakzłarada,gdyżzakłócawykonywa-
nieuzasadnionychdziałańadministracyjnych,ajednocześnieobejścietego„zabezpieczenia”jest
trywialniełatwe.
6ChybażewłączonajestfunkcjaCredentialGuard(Ochronapoświadczeń)systemuWindows10.